Word/Excel文档伪装木马病毒-kspoold.exe分析

一、 病毒样本基本信息

样本名称:kspoold.exe

样本大小: 285184 字节

样本MD5:CF36D2C3023138FE694FFE4666B4B1B2

病毒名称:Win32/Trojan.Spy.a5e

计算机系统中了该病毒一个比较明显的特征就是U盘里的.doc、.xls文件会被病毒隐藏起来,变成kspoold.exe病毒的载体文件,误导用户以为是原来的.doc、.xls文件达到传播病毒的目的,用户运行该kspoold.exe的载体病毒以后,病毒母体kspoold.exe就会驻留到用户的电脑里。

二、 隐藏了.doc、.xls文档的衍生病毒的具体行为

1.从该样本文件的资源中获取名称为"UKURAN_EKSTRAKTO"的资源数据,然后解密该数据。

2.创建文件C:\WINDOWS\system32\kspoold.exe释放到系统目录C:\WINDOWS\system32下,并运行病毒母体文件kspoold.exe。

3.在该病毒样本的目录下,释放出原来正常的.doc、.xls文件

4.调用函数ShellExecuteA打开原来被隐藏的.doc、.xls文件,给用户造成假象。

5.通过字符串"COMSPEC"在系统的环境变量中查找到系统cmd.exe程序的路径"C:\\WINDOWS\\system32\\cmd.exe"

6.调用函数ShellExecuteA在"C:\\WINDOWS\\system32\\cmd.exe"中,执行命令"/c del \新建Microsoft Word 文档.exe\"删除 kspoold.exe的载体病毒例如”新建 Microsoft Word 文档.exe “文件自身。

三、 病毒母体kspoold.exe的具体行为

1.   创建可执行文件C:\WINDOWS\system32\avmeter32.dll和C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\UninstallLog.dat。

2.   创建下面几个关键的注册表:

"HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\kspooldaemon\Enum"

"HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\kspooldaemon\Security

"HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\kspooldaemon"

"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\kspooldaemon\Enum"

"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\kspooldaemon\Security

"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\kspooldaemon"

"HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_KSPOOLDAEMON\0000\Control"

"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_KSPOOLDAEMON\0000\Control"

3.   创建系统服务kspooldaemon, C:\WINDOWS\system32\kspoold.exe然后启动该系统服务kspooldaemon,系统服务kspooldaemon的作用是守护病毒母体进程kspoold.exe,它会实时的查询病毒母体进程kspoold.exe是否存在,一旦病毒母体进程kspoold.exe不存在,它就会马上创建病毒母体进程kspoold.exe。

4.   遍历系统所有程序的进程,找到资源管理器进程explore.exe,然后创建远程线程注入释放的C:\WINDOWS\system32\avmeter32.dll文件到资源管理器进程explore.exe中。

5.   获取用户操作系统的磁盘类型,针对用户的U盘里的.doc文件和.xls文件进行病毒感染处理,具体的感染处理是获取.doc文件和.xls的文件的图标,然后再重新构造一个和原来的.doc文件或者.xls文件同名并且图标是一样的载有病毒母体kspoold.exe的.EXE文件。

6.   获取用户操作系统的键盘布局信息以及设置键盘的消息钩子,对用户的键盘消息进行监听,记录用户的键盘按键的输入信息并开启后门衔接远程控制服务器,用户的电脑会被病毒作者所控制。

四、 kspoold.exe病毒专杀的编写思路

1.   关闭并删除 kspooldaemon系统服务以及删除C:\WINDOWS\system32\kspoold.exe文件。

2.   遍历系统里的所有程序的进程,查找到kspoold.exe进程然后结束它。

3.   删除下面几个注册表:

"HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\kspooldaemon\Enum"

"HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\kspooldaemon\Security

"HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\kspooldaemon"

"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\kspooldaemon\Enum"

"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\kspooldaemon\Security

"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\kspooldaemon"

"HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_KSPOOLDAEMON\0000\Control"

"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_KSPOOLDAEMON\0000\Control"

4.   删除C:\WINDOWS\system32\avmeter32.dll文件。

5.   遍历进程explorer.exe的进程模块,卸载掉avmeter32.dll模块或者直接结束掉explorer.exe进程然后重新创建explorer.exe进程。

6.   对kspoold.exe衍生病毒的处理,先通过下面的方法提取隐藏的.doc、.xls文件,然后再删除该kspoold.exe衍生病毒文件。

五、 隐藏的.doc、.xls文档的恢复方法

1.  被kspoold.exe衍生病毒隐藏的.doc、.xls文件的文件格式保存在该病毒文件的文件偏移Offset=0x50C14的位置的4个字节。

2.  获取kspoold.exe衍生病毒文件的文件偏移Offset=0x50E23至该病毒文件末尾的所有数据即可提取到被该病毒隐藏的.doc、.xls文件。

3.  对于被kspoold.exe衍生病毒隐藏的.doc、.xls文件即可以手动通过WinHex.exe工具提取到也可以自己写个程序来实现.doc、.xls文件的提取。

4.  隐藏.doc、.xls文件的kspoold.exe衍生病毒里有两个PE文件。

在隐藏.doc、.xls文件的kspoold.exe衍生病毒文件的文件偏移Offset=0xB214位置是第2个PE文件的起始位置,其实该PE文件就是病毒母体文件kspoold.exe,只是病毒母体文件kspoold.exe的最后4个字节被用来保存被隐藏的.doc、.xls文件的文件格式,如.doc、.xls即该PE文件的结束位置是文件偏移Offset=0x50C17位置。

5.  kspoold.exe衍生病毒文件的数据组成示意图,从上到下即对应从文件头到文件尾。

六、 kspoold.exe病毒手动查杀方案

1.打开火眼XueTr工具,切换到火眼工具的服务选项,查看服务列表中有没有一个名称为kspooldaemon的服务。

如果有,右键选择该服务启动项,先选择“停止”停止该服务,然后选择“删除服务”删除该服务。

2.切换到进程选项,查看用户的进程列表,看进程列表里有没有名称为kspoold.exe的伪打印驱动进程;如果有,右键选中该进程,选择“强制结束进程并删除文件”项,结束进程。

3.在用户的进程列表中找到资源管理器进程explore.exe结束掉该进程。

4.如果U盘已经被感染,不要将U盘从电脑上拔下,保持U盘的原来状态;经过上面3步操作以后,对U盘进行格式化处理就可以了,文件自然丢失。

注意:在进行该病毒手动清除的时候,要记得使用火眼工具查看进程和服务列表,并且一定要先停止kspooldaemon服务,然后再结束病毒进程kspoold.exe,顺序不能反过来,否则kspoold.exe病毒进程是结束不掉的。

七、 kspoold.exe病毒的总结

kspoold.exe病毒并不是比较新的病毒,早在2012年的时候,就有病毒安全公司收集到该样本,至于是哪个安全公司就不提了,自行百度,并且该安全公司将该病毒划归为木马病毒的范畴。经过对该病毒的分析发现,虽然该病毒有获取系统键盘布局以及为键盘消息设置钩子等行为,将该病毒归为木马病毒还是有点不准确,但是还是遵循病毒安全公司的病毒命名方式,姑且将该病毒归为木马病毒。

转载请保留本文链接地址:http://blog.csdn.net/qq1084283172/article/details/45913511

时间: 2024-10-11 00:23:36

Word/Excel文档伪装木马病毒-kspoold.exe分析的相关文章

java读取WORD/EXCEL模板转换生成新WORD/EXCEL文档

原文:java读取WORD/EXCEL模板转换生成新WORD/EXCEL文档 代码下载地址:http://www.zuidaima.com/share/1550463239670784.htm 可以通过预先设置指定的excel和word模板,通过替换文档里面指定的标志来生成新的excel和word文档.excel的部分只是实现了简单的方法.word部分可以支持word2003和word2007格式.建议word使用07及其以上. 其实excel部分标签和jstl很像,而且支持循环等.word就支

CA证书应用三:给Word/Excel文档添加数字签名

本期介绍CA证书另外一个应用:给Word/Excel文档添加数字签名. 当我们完成一篇Word文档或者一个Excel表格后,如果希望该文档或者Excel表格不再被别人修改,那么此时可以给文档或者Excel表格加上自己的数字签名.具体步骤如下: 一.准备工作 1.自己的数字证书,一般为CA中心颁发的UKey: 2.已经完成的Word文档(或者Excel表格). 二.添加签名 1.打开要签名的文档,如下图中的测试文档: 2.将UKey接入PC,选择Word的"文件"-〉"保护文档

利用Aspose.Word控件和Aspose.Cell控件,实现Word文档和Excel文档的模板化导出

我们知道,一般都导出的Word文档或者Excel文档,基本上分为两类,一类是动态生成全部文档的内容方式,一种是基于固定模板化的内容输出,后者在很多场合用的比较多,这也是企业报表规范化的一个体现. 我的博客介绍过几篇关于Aspose.Word控件和Aspose.Cell控件的使用操作,如下所示. <使用Aspose.Cell控件实现Excel高难度报表的生成(一)> <使用Aspose.Cell控件实现Excel高难度报表的生成(二)> <使用Aspose.Cell控件实现Ex

使用NOPI读取Word、Excel文档内容

使用NOPI读取Excel的例子很多,读取Word的例子不多. Excel的解析方式有多中,可以使用ODBC查询,把Excel作为一个数据集对待.也可以使用文档结构模型的方式进行解析,即解析Workbook(工作簿).Sheet.Row.Column. Word的解析比较复杂,因为Word的文档结构模型定义较为复杂.解析Word或者Excel,关键是理解Word.Excel的文档对象模型. Word.Excel文档对象模型的解析,可以通过COM接口调用,此类方式使用较广.(可以录制宏代码,然后替

AOPR破解Office Word和Excel文档密码有风险吗?

Advanced Office Password Recovery作为一款专业的Office密码破解软件,支持的破解文件格式齐全,从Office2.0到2013版本.可破解的密码类型众多,从常设的打开密码到鲜有的VBA程序密码.所以,AOPR破解Office 97/2000兼容格式的Word和Excel文档密码,根本就是小菜一碟. AOPR与AOPB的破解效果 当需要破解密码的Word或Excel文档以Office 97/2000兼容格式或优于Office 97/2000格式保存时,Advanc

基于DevExpress实现对PDF、Word、Excel文档的预览及操作处理

原文:基于DevExpress实现对PDF.Word.Excel文档的预览及操作处理 在一般的管理系统模块里面,越来越多的设计到一些常用文档的上传保存操作,其中如PDF.Word.Excel等文档,有时候是通过分布式的WCF技术实现数据的显示和处理,因此希望直接预览而不需要下载文件,这样能够给我们提供很多的方便.在DevExpress里面,提供了相应的控件来显示和处理这些文档,本文主要介绍如何利用DevExpress的控件实现对PDF.Word.Excel文档的预览和操作处理. 1.PDF的预览

支持将数据导出到Excel文档的时候设置单元格格式的.NET控件Spire.DataExport

Spire.DataExport for .NET是e-iceblue公司推出的一款数据导出类.NET控件.作为一款专业的数据导出控件,Spire.DataExport for .NET可以帮助开发人员轻松快速的从各种主流数据库中导出数据并存储于各种文件格式中.他支持从SQL Command, DataTable,ListView中导出数据并存储于MS Excel,MS Word, HTML, XML, PDF, MS Access, DBF, SQL Script, SYLK, DIF, CS

php用PHPExcel库生成Excel文档的例子

<?php require_once '../libs/PHPWord/PHPWord.php'; require_once '../libs/PHPWord/PHPWord/IOFactory.php'; require_once '../../config.php'; // New Word Document $PHPWord = new PHPWord(); $objExcel->getProperties()->setCreator("office 2003 excel

C# 对Excel文档打印时的页面设置

1.对打印页面的朝向,页宽,页高进行设置 参考源码[1] using Excel = Microsoft.Office.Interop.Excel; Excel.Application tmpExcel = new Excel.ApplicationClass(); Excel.Workbook tmpbook = tmpExcel.Workbooks.Open(tmppath, Type.Missing, Type.Missing, Type.Missing, Type.Missing, Ty